# AN0579 — Analytic 0579 ## Descrição Este analítico detecta injeção de processo baseada em ptrace correlacionando logs de auditoria de chamadas de sistema ptrace, modificações de memória (como `PTRACE_POKETEXT`, `PTRACE_POKEDATA`) e manipulação suspeita de registradores em um processo-alvo que normalmente não é depurado pelo originador. A telemetria é extraída de logs do `auditd` com regras configuradas para monitorar a chamada de sistema `ptrace`, eventos do kernel Linux e monitoramento de comportamento anômalo de memória de processos após a tentativa de injeção. Essa detecção é crítica pois a injeção via ptrace é utilizada por malware Linux sofisticado e rootkits para executar código malicioso em contexto de processos privilegiados, contornando controles de segurança baseados em identidade de processo. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN0579](https://attack.mitre.org/detectionstrategies/DET0203#AN0579)*